“AI 네이티브 보안팀으로 진화해야”
[보안뉴스 강현주 기자] “근실시간으로 발견되는 취약점을 오래 방치하는 보안 리스크와 급하게 배포해 장애를 유발하는 서비스 리스크 사이에서 균형을 잡는 ‘패치 배포 운영체계의 성숙도’가 AI 시대 보안 경쟁력입니다.”
지정호 토스 정보보호최고책임자(CISO)는 7일 서울 용산 피스앤파크컨벤션에서 열린 ‘CISO 코리아 2026’에서 이 같이 밝혔다.

▲지정호 토스 CISO가 발표하고 있다. [출처: 보안뉴스]
“빠른 패치는 또 다른 리스크... 자동 테스트·즉시 롤백 갖춰야”
지 CISO는 기조연설 ‘AI 전환의 시대 우리는 무엇을 준비해야 하는가’을 통해 AI 시대 보안팀을 위한 보안 운영체계 전환에 대해 제언했다. 특히 AI가 급격히 진화하는 가운데, 패치 배포 체계의 ‘성숙도’를 논했다.
지 CISO는 “AI 에이전트의 상시 스캐닝으로 인해 앞으로 취약점은 사람이 정할 수 없는 근(近) 실시간 속도로 빠르게 발견될 것”이라며 “하지만 빠른 패치는 또 다른 리스크”라고 말했다.
이어 “발견된 취약점을 오래 방치하는 ‘보안 리스크’와 검증 없이 급하게 배포해 장애 및 회귀 위험을 유발하는 ‘서비스 리스크’ 사이에서 균형을 잡는 운영 전략이 필요하다”고 강조했다.
지 CISO는 이 전략으로 △패치를 자동 테스트로 검증하는 환경 △일부 사용자에게 먼저 배포 △기능 단위로 즉시 끄고 켬 △문제 시 즉시 롤백(이전 상태로 복원) △배포 이후 영향 실시간 관측 등을 제언했다.
그는 “빠른 취약점 조치를 운영 안정성과 함께 확보하는 ‘패치 가능성’(Patchability), ‘배포 운영체계의 성숙도’가 AI 시대의 핵심 보안 경쟁력”이라고 말했다.
“차단 → 안전한 가능성 여는 일로 진화”
지 CISO는 AI 시대 CISO의 역할에 대해서도 제언했다.
그는 “CISO의 임무가 위험 요소를 차단하는 통제에서 비즈니스의 AI 활용을 안전하게 돕는 지원으로 바뀌어야 한다”며 “무조건 막거나 풀어주는 것이 아니라, 안전하게 보호할 수 있는 방식을 고민해야 한다는 의미”라고 밝혔다.
이어 “성과 지표(KPI) 역시 단순 차단 건수가 아니라 허용 가능한 AI 비율, 데이터 경계 준수율 에이전트 권한 가시성 확보, 패치 가능 시간 단축, 보안 업무 처리량 등으로 정교화해야 한다”고 했다.
이 날 지 CISO는 △실무 중심의 거버넌스와 사전 검토 △명확한 데이터 경계 기반의 망 분리 및 제로트러스트 △AI 가드레일 엔지니어링 및 에이전트 통제 등 토스가 운영중인 AI 보안 통제 체계를 공유했다.
토스는 ‘안전한 지원’이라는 전제 아래 거버넌스부터 인프라 실행까지 연계된 단일 통제 체계를 구축해 운영 중이라는 게 그의 설명이다.
지 CISO는 “보안 인력이 크게 늘어나지 않는 상황에서 AI 시대에 쏟아지는 업무량을 감당하려면 보안팀 스스로가 AI를 최대한 많이 활용해야 한다”며 “AI 네이티브 보안팀으로 진화해야 한다”고 말했다
그는 “AI 시대 보안의 목적은 차단이 아니라, AI의 가능성을 안전하게 여는 것”이라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>








.jpg)





